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© Computerprogrammgesteuertes Verfahren zum gesicherten Aufbau einer Wahl-Leitungsverbindung und zur 
gesicherten Datenubertragung zwisohen einem Chipkarten-Terminal und einer zentralen 
Datenverarbeitungsanlage 

(§?) Computerprogrammgesteuertes Verfahren zum gesicher- 
ten Aufbau einer Wahl-Leitungsverbindung und zur gesi- 
cherten Datenubertragung zwischen einem Chipkarten-Ter- 
minal (2) und einer zentralen Datenverarbeitungsanlage (3, 
4) unter AusschluB unbefugten Zugriffes auf die Leitungs- 
verbindung und/oder die Daten. 

Dieses Verfahren schlieUt eine gegenseitige Authentisierung 
der Datenverarbeitungsanlage und des Terminals mittels 
gegenseitig ubertragener unverschlusselter und verschlQs- 
selter Zufailwerte, eine Clberprufung und ggf. Vergabe eines 
Terminal-ldentifikations-Codes, MaSnahmen zur Verhinde- 
mng von Doppel-Abrechnungen und eine Lbschung der Im 
Terminal (2) zwischengespeicherten Bezahl-Daten etc. erst 
nach einer Akzeptanz-Prufung ein. 
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Beschreibung 

Die Erfindung betrifft ein computerprogrammgesteu- 
ertes Verfahren zum gesicherten Aufbau einer Wahl- 
Leitungsverbindung und zur gesicherten Dateniibertra- 
gung zwischen einem Chipkarten-Terminal und einer 
zentralen Datenverarbeitungsanlage unter Ausschlufi 
unbefugten Zugriffes auf diese Leitungsverbindung 
und/oder die Daten. 

Im Rahmen bargeldlosen Geldverkehrs werden auch 
sogenannte Chipkarten fur den Einkauf von Waren o.a. 
verwendet; aus dera Chip konnen gedachte Geldbetra- 
ge "entnommen" werden, bis sich der Vorrat an gedach- 
tem Geld im Chip erschopft hat. 

Im Chip einer solchen Chipkarte ist in einem elektro- 
nischen Speicher u. a. ein einen Geldbetrag darstellen- 
der Wert (als Zahl) gespeichert. Bei einem Kaufvorgang 
wird dieser Wert um den jeweiligen Kaufpreis der Ware 
verringert, ein Vorgang der der Verwendung allgemein 
bekannter Telefonkarten ahnelt. Kaufvorgange mit der 
Chipkarte konnen solange fortgesetzt werden, bis der 
gedachte Geldwert im Chip auf Null reduziert ist. 

Fur den Umgang mit der Chipkarte ist ein Gerat er- 
forderlich, mit dessen Hilfe die im Chip gespeicherten 
Werte gelesen und ggfls. auch verandert werden kon- 
nen. Bei Telefonkarten verbirgt sich dieses Gerat hinter 
dem Apparate-Einsteckschlitz fur die Telefonkarte. Fiir 
Chipkarten zum Einkauf von Waren o. a. sind sogenann- 
te Chipkarten-Terminals vorgesehen, die bei Handlern, 
in Dienstleistungsbetrieben etc. (bei Terminalbesitzern) 
aufgestellt sind. Fur den Bezahlvorgang ist die Chipkar- 
te in eine dafiir vorgesehene Lese/Schreibstation des 
Terminals zu stecken. Das Terminal Iiest den in der 
Chipkarte enthaltenen Geldwert und verringert diesen 
um den Kauf(Bezahl)bctrag. Der Kaufbetrag kann z. B. 
ilber eine Tastatur in das Terminal eingegeben worden 
sein. Es ist jedoch auch denkbar, daB die Eingabe des 
Kaufpreises in das Terminal auf andere Weise geschieht, 
z. B. iiber sogenannte Scanner, wie sie heute an fast alien 
Kaufhauskassen zur schnellen Erfassung der Preise ver- 
wendet werden. 

Nach dem "Abbuchen" des Kaufpreises von dem im 
Chip gespeicherten Geldwert, der Verringerung dieses 
Wertes um den Kaufpreis, erhebt sich die Frage, wie 
nun z. B. der Handler, Uber dessen Terminal gekauft 
wurde, zu seinem Geld kommt, und dies bei einer Viel- 
zahl von Terminals, die bei einer Vielzahl von Handlern 
aufgestellt sind. Alle diese Terminals sind uber Telefon- 
leitungen o.a. mit einer zentralen Datenverarbeitungs- 
anlage verbunden. Die an den Terminals bei Kaufvor- 
gangen von den Chipkarten abgebuchten Bezahlbetra- 
ge werden pro Terminal zusammen mit anderen termi- 
nal-, chipkarten- und terminalbesitzerspezifischen Da- 
ten an die zentrale Datenverarbeitungsanlage ubertra- 
gen. Im Rahmen der Ubertragung und nach Empfang 
der ubertragenen Daten durch die Datenverarbeitungs- 
anlage finden verschiedene Prufungen statt, bevor die 
Datenverarbeitungsanlage veranlaBt, daB dem betroffe- 
nen Terminalbesitzer (Handler) der iiber sein Terminal 
getatigte Umsatz auf seinem Bankkonto gutgeschrieben 
werden kann. 

Die durchzufuhrenden Prufungen sind unerlaBlich, 
soil der Zugriff von Unbefugten auf die Obertragungs- 
leitungen oder die zu ubertragenden Daten verhindert 
werden. Die Prufungen dienen weiterhin der Verhinde- 
rung von Fehlbuchungen und Datenverlusten- der 
Handler, der Terminalbesitzer, der auf sein Geld wartet, 
soli dieses auch sicher bekommen, hier in Form einer 



elektronischen Habenbuchung auf seinem Computer- 
Ban kkonto. 

Fig. 1 zeigt ein vereinfachtes Blockschaltbild mit ei- 
nem Chipkarten-Terminal 2 und zentralen Datenverar- 
5 beitungsanlagen 4, 5 fiir einen bargeldlosen Geldver- 
kehr mit einer Chipkarte. Der Aufbau der Leitungsver- 
bindungen, die Dateniibertragung und verschiedene 
computerprogrammgesteuerte Prufungen und MaB- 
nahmen konnen auf unterschiedliche Art, nach unter- 
io schiedlichen Verfahren erfolgen. 

Ein bekanntes vorgeschlagene Verfahren steht im Zu- 
sammenhang mit dem sogenannten Z-Modem, einem 
Software-Obertragungsverfahren fiir eine Datei, die aus 
logisch zusammengefaBten Datensatzen besteht. Da- 
is nach ubertragt unter Beachtung vordefinierter Krite- 
rien ein Sender eine Datei an einen Empfanger: Die 
Datei ist durch einen Dateinamen und ihre Lange defi- 
niert, sie wird in eine Vielzahl sogenannter Pakete auf- 
gegliedert 

20 Die Datensatze sind verdichtet und mit Prufziffern 
versehen. 

Der Empfang von Paketen und der gesamten Datei 
wird vom Empfanger in Priifintervallen an den Sender 
durch eine sogenannte Quittier-Information bestatigt. 
25 Die Anzahl der Pakete, die eine Quittierung nach sich 
zieht, kann je nach Anforderung dynamisch variabel 

Bei dem bekannten vorgeschlagenen Verfahren wer- 
den zuvor erwahnte Chipkarten verwendet. 
30 Bcim "Aufladen" der Chipkarten wird in diesen u. a. 

1. eine Chip-Kennummer und 

2. ein Ausgangs-Wertbetrag, z. B. DM 400.— einge- 
schrieben (elektronisch gespeichert). 

35 

Die Chip-Kennummer und der Wertbetrag konnen 
von einem Chipkarten-Terminal, in welche die Chipkar- 
te fiir einen Kauf(Bezahl)vorgang eingefiihrt wird, gele- 
sen werden. Der Kaufbetrag wird in das Chipkarten- 

40 Terminal iiber eine Tastatur eingegeben und automa- 
tisch von dem im Chip gespeicherten Wertbetrag abge- 
zogen. Die verbleibende Differenz wird automatisch 
durch das Chip-Karten-Terminal im Chip anstelle des 
vorhergehenden Wertbetrages gespeichert. 

45 Erfolgte z. B. ein Kauf fiir DM 10.—, so sind anstelle 
des urspriinglichen Wertbetrages von DM 400.— jetzt 
nur noch DM 390.— im Chip vermerkt; es kann also 
noch mehrfach eingekauft werden, bis auch dieser Be- 
trag verbraucht ist. 

50 Die Chipkarte gestattet somit ein bargeldloses Ein- 
kaufen. 

Die Frage, wie nun der Handler zu seinem Geld 
kommt, wurde bereits vorstehend andeutungsweise be- 
antwortet von den Chipkarten beim Einkauf auf einem 

55 Terminal abgebuchte Kauf(Bezahl)betrage werden zu- 
sammen mit anderen Daten, so auch der Handler-Bank- 
verbindung elektronisch an eine zentrale Datenverar- 
beitungsanlage 5 weitergeleitet, an die die Terminals 
aller Handler durch Telefonanwahl angeschlossen sind. 

60 Nach einigen Prufungen der iibermittelten Daten be- 
wirkt diese Datenverarbeitungsanlage, daB jeder Hand- 
ler einen entsprechenden Betrag fur die bei ihm getatig- 
ten Einkaufe auf seinem Bankkonto gutgeschrieben be- 
kommt. Allgemein hat sich fur diese Art des bargeldlo- 

65 sen Einkaufes der Begriff "electronic cash" eingebiirgert. 
Beim Aufladen des Chips mit Kennummer und Wert- 
betrag wird zugleich in der zuvor erwahnten zentralen 
Datenverarbeitungsanlage 5, der sogenannten Evidenz- 
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Zentrale eine Schatten-Konto-Datei angelegt, in der un- 
ter dem Ordnungsbegriff der Kennummer des Chips 
auch der Wertbetrag der Chipkarte gespeichert ist. Ge- 
hen in der Evidenz-Zentrale Informationen ein, fur wel- 
che Chipkarten welche Kaufbetrage abgebucht wurden, 5 
so wird dies aus Grunden der Sicherheit auch in der 
Schatten-Konto-Datei nachvollzogen. Die Abbuchung 
vora Schattenkonto bewirkt fur den betroffenen Hand- 
ler, von dessen Terminal der Chipkarten-Umsatz gemel- 
det wurde, daB auf seinem Computer-Bankkonto ein io 
entsprechender Betrag gutgeschrieben wird. 

Eine solche Buchung auf dem Bankkonto des Hand- 
lers erfolgt selbstverstandlich nicht in der Datenverar- 
beitungsanlage DVA-Eder Evidenz-Zentrale selbst Die 
DVA-E ist rait den Computern angeschlossener Banken 15 
verbunden, in denen die Handler-Konten geffihrt wer- 
den. Die DVA-E iibertragt an den entsprechenden 
Bank-Computer die Information, einem durch Namen 
und Bankverbindung ausgewiesenen Handler einen be- 
stimmten Betrag gutzuschreiben. 20 

Das verwendete Chipkarten-Terminal enthalt eine 
elektronisch auslesbare Handlerkarte (Handler ist eine 
gangige Bezeichnung fur einen Terminal-Besitzer, der 
nicht immer ein Handler sein muB, denn Dienstlei- 
stungsbetriebe u. a.m. pflegen neben Handlern ebenfalls 25 
einen bargeldlosen Geldverkehr), aus der neben der 
Handleridentifikation auch die Bankverbindung des 
Handlers ausgelesen und zusammen mit den Chipkar- 
ten- Buchungsdaten an die Evidenz-Zentrale iibermittelt 
werden konnen. 30 

Der Obermittlung der Daten geht eine telefonische 
Anwahl der Evidenz-Zentrale voraus, die Obertragung 
der Informationen erfolgt fiber ein herkSmmliches Mo- 
dems und Telefonleitungen. 

Neben der direkten Anwahl der Evidenz-Zentrale 35 
konnen die Informationen vorzugsweise zunitchst an die 
Datenverarbeitungsanlage DVA-N 4 eines sogenannten 
Netzbetreibers geleitet werden. Don erfolgt eine Ver- 
dichtung und Aufbereitung der empfangenen Daten. 
Unter spezifischer Kenntnis einer auBerst effizienten 40 
Zugangstechnik zur Evidenz-Zentrale werden die vom 
Netzbetreiber 4 "vorbehandelten" Daten an die Evi- 
denz-Zentrale 5 weitergeleitet. Die Zwischenschaltung 
des Netzbetreibers 4 entlastet die Datenverarbeitungs- 
anlage 5 der Evidenz-Zentrale so enorm, daB aus Wirt- 45 
schaftlichkeitsgriinden davon auszugehen ist,daB zu ca. 
90% von dieser Zwischenschaltung des Netzbetreibers 
Gebrauch gemacht werden wird. 

Das zuvor erwahnte bekannte Verfahren ist jedoch 
mit einer Reihe signifikanter Nachteile behaftet: 50 

a) Nach dem Z-Modem-Obertragungsprotokoll er- 
folgt eine protokollbasierte (nicht logische) Quittie- 
rung des Empfanges von Informationen durch die 
Evidenz-Zentrale 5 an das sendende Terminal 2. 55 
Auf Grund dieser Quittierung werden die bis zu 
diesem Zeitpunkt im Terminal zwischengespei- 
cherten Buchungsdaten, welche an die Evidenz- 
Zentrale 5 oder den Netzbetreiber 4 gesendet wur- 
den, geldscht. Dabei wird nicht berucksichtigt, ob w 
die Qbertragenen Buchungsdaten - durch Hacker 
bewirkt - moglicherweise eine Gutschrift auf ein 
fremdes "Hacker'-Konto ausldsen wurden. Nach 
Loschung der zwischengespeicherten Buchungsda- 
ten im Terminal, ausgelost durch die Quittierung 65 
seitens der Evidenz-Zentrale, erhalt bei einer 
Fremdkonto-Gutschrift der berechtigte Handler 
kein Geld, eine begrundete Reklamation ist nicht 



moglich, da die zwischengespeicherten Daten ge- 
loscht wurden und es in der Regel keinen Terminal- 
Ausdruckgibt. 

b) Desweiteren ist es durch die manuelle telefoni- 
sche Anwahl der DVA-N 4 des Netzbetreibers 
oder der DVA-E 5 der Evidenz-Zentrale fur eine 
nachfolgende Dateniibertragung moglich, verse- 
hentlich andere im Netz betriebene fremde PC's 6, 
7 {oft als electronic mail boxes bezeichnet) anzu- 
wahlen, die nach dem Z-Modem-Ubertragungsver- 
fahren den Empfang der an sie gelangten Informa- 
tionen dem Chipkarten-Terminal bestatigen. Dies 
lost wie zuvor in einem anderen Zusammenhang 
bemerkt, die Loschung der im Terminal zwischen- 
gespeicherten Buchungsdaten aus, abgehen davon, 
daB die vom fremden PC empfangenen Daten nicht 
an die Evidenz-Zentrale bzw. den Netzbetreiber 
weitergeleitet werden. Im schlimmsten Falle eines 
eriolgreichern kriminellen Hackers konnen die auf 
seinem PC empfangenen Daten manipuliert und 
weitergeleitet werden, um eine Gutschrift auf ei- 
nem "Hacker"-K.onto zu bewirken. 

c) Ebenso ist es denkbar, daB ein Hacker Buchungs- 
daten einer Chipkarte simuliert und zur Auslosung 
einer Bankgutschrift auf ein "Hacker"-Konto be- 

d) Als Nachteil kann es sich auswirken, daB bei der 
Vergabe von Datei-Namen die gleiche Bezeich- 
nung mehrfach vergeben und benutzt wird. Eine in 
der Evidenz-Zentrale unter einem bestimmten Da- 
teinamen gespeicherte Datei wird beim Eintreffen 
einer gleichbenannten Datei von dieser uberschrie- 
ben, um Mehrfach-Gutschriften bei Mehrfachsen- 
dungen derselben Datei zu vermeiden. Diese Kege- 
lung hat jedoch den Nachteil, daB unterschiedliche 
aber unerwiinschterweise gleich benannte Dateien 
untergehen konnen und bei der Gutschriften-Er- 
stellung nicht mehr berucksichtigt werden konnen. 

e) Desweiteren ist es moglich, daB Hacker iibcr 
einen Fremd-PC den Netzbetreiber oder die Evi- 
denz-Zentrale mit unsinnigen Informationen derart 
"verstopfen", daB die relevanten Ubertragungslei- 
tungen fur den erwunschten DatenfluB blockiert 
sind. 

Zur Vermeidung dieser Nachteile ist es Aufgabe der 
Erfindung, ein computerprogrammgesteuertes Verfah- 
ren zum gesicherten Aufbau einer Wahl-Leitungsver- 
bindung und zur gesicherten Dateniibertragung zwi- 
schen einem Chipkarten-Terminal und einer zentralen 
Datenverarbeitungsanlage unter AusschluB unbefugten 
Zugriffes auf diese Leitungsverbindung und/oder die 
Daten anzugeben, mit anderen Worten, ein Verfahren, 
welches einen Hackerzugriff auBerst erschwert bzw. un- 
moglich macht, welches eine sichere Dateniibertragung 
gewahrleistet und die Gefahren von Datenverlusten, 
Falsch- und Doppelbuchungen ausschlieBt. 

Diese Aufgabe der Erfindung wird in vorteilhafter- 
weise durch die im Anspruch 1 angegebenen Merkmale 
gelost 

Vorteilhafte Weiterbildungen der Erfindung sind in 
den Unteransprtichen gekennzeichnet. 

Die Erfindung ist in den Zeichnungen dargestellt und 
wird im folgenden naher beschrieben. Es zeigen 

Fig. 1 ein vereinfachtes Blockschaltbild mit einem 
Chipkarten-Terminal und zentralen Datenverarbei- 
tungsanlagen fur einen bargeldlosen Geldverkehr mit 
einer Chipkarte zur Anwendung eines bekannten Ver- 
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fahrens nach dem Stand der Technik aber auch zur An- 
wendung des erfindungsgemaSen Verfahrens, 

Fig. 2 eine Wiedergabe einer Obersicht zur Zusara- 
mengehorigkeit der Teildarstellungen der Fig. 2A, 2B 
und 2C, 5 

Fig. 2A, 2B und 2C Teildarstellungen eines schemati- 
schen Blockdiagramms zur Verdeutlichung des Ablau- 
fes des erfindungsgemaBen Verfahrens. 

Die Fig. 2A, 2B und 2C zeigen zusammengehorend 
ein schematisches Blockschaltbild des erfindungsgema- io 
Ben Verfahrens. 

Dieses bezieht sich auf einen gesicherten Aufbau ei- 
ner Wahlleitungsverbindung und eine gesicherte Daten- 
iibertragung zwischen einem autorisierten Chipkarten- 
Terminal 2 und einer autorisierten zentralen Datenver- 15 
arbeitungsanlage DVA-E 5 bzw. DVA-N 4. Der Block 
11 bezieht sich auf die telefonische Anwahl der Daten- 
verarbeitungsanlage4oder5 der Evidenz-Zentrale bzw. 
des Netzbetreibers. Eine solche Anwahl zielt auf die 
Herstellung der physikalischen Leitungsverbindung 20 
zwischen dem Modem 3 des Chipkarten-Terminals 2 
und der empfangenden Datenverarbeitungsanlage 4 
bzw. 5 ab. Dabei erfolgt eine Signalisierung (DCD Data 
Carrier Detect) fiber eine Steuerleitung. 

(Nach dem bekannten Z-Modem-Obertragungspro- 25 
tokoll offenbart der durch eine telefonische Anwahl 
adressierte Empfanger seine Bereitschaft zum Empfang 
einer Datei durch Aussenden eines bestimmten Bereit- 
schaftssignales. Dieses Signal kann eine Einstiegsmog- 
lichkeit fur den Hacker in das System bieten). Zur Ver- 30 
meidung dieser Moglichkeit wird nach Anwahl der Da- 
tenverarbeitungsanlage 4 bzw. 5 gemaB dem erfin- 
dungsgemaSen Verfahren kein Bereitschaftssignal zum 
Empfang einer Datei ausgesandt. Die Leitung bleibt lo- 
gisch tot Es kommt zum Verbindungsabbruch, sollte auf 35 
der Empfangsleitung direkt etwas an die Datenverar- 
beitungsanlage gesendet werden. 

Einem Hacker bleibt somit die Empfangsbereitschaft 
der Datenverarbeitungsanlage verborgen. 

Zur Herstellung eines gesicherten Verbindungsauf- 40 
baues zwischen Terminal 2 und Datenverarbeitungsan- 
lage 4, 5 dient eine gegenseitige Authentisierung mittels 
unverschlusselter und verschliisselter Zufallszahlen: 
Hierzu wird in Block 14 eine 8 Byte umfassende Zufalls- 
zahl 45 

A, z.B. 47112345, 

erzeugt, in Block 15 zwischengespeichert und in Block 
16 an das Terminal 2 gesendet. 50 

Nach Empfang von A wird im Terminal 2 in Block 17 
eine Zufallszahl B erzeugt, in Block 18 zwischengespei- 
chert. 

In Block 17 wird die empfangene Zufallszahl A zu Av 
verschlusselt 55 

Zur automatischen computerprogrammgesteuerten 
Verschlusselung von Information stehen allgemein be- 
kannte elektronische Bauteile mit entsprechenden Ver- 
schliisselungsalgorithmen bereit. Nach Festlegung auf 
den Verschlusselungsalgorithmus wird das dafur geeig- 60 
nete elektronische Bauteil an dafur vorhergesehener 
Stelle des (intelligenten) Terminals und/oder der Daten- 
verarbeitungsanlage eingesetzt. Sobald dieses Ver- 
schliisselungsbauteil programmgesteuert mit einer un- 
verschliisselten Information beaufschlagt wird, wandelt 65 
es diese automatisch entsprechend dem Verschliissel- 
ungsalgorithmus in eine versch'liisselte Information um. 

In Block 20 wird durch eine Abfrage sichergestellt, ob 



das Terminal 2 schon mit einem sogenannten Terminal- 
Identifikations-Code versehen wurde, durch den das 
Terminal eineindeutig hinsichtlich Geratetyp und Kon- 
figuration gekennzeichnet ist. Dieser Code ist an vorge- 
schriebener Stelle des Terminals gespeichert, er kann 
programmgesteuert abgefragt werden. Ist ein solcher 
Term:nal-Identifikations-Code vorhanden(in einem sol- 
chen Fall ist dieser Terminal-Identifikations-Code auch 
in der Datenverarbeitungsanlage abgespeichert wor- 
den), wird in Block 21 dieser Code TID, zusammen mit 
der verschlusselten Zufallszahl Av und der Zufallszahl B 
als 3x8 Byte langer Datensatz an die Datenverarbei- 
tungsanlage 4 bzw. 5 iibertragen. Beim Fehlen eines 
Terminal- Identifikations-Codes TID im Terminal wird 
zur Kennzeichnung dieses Fehl-Status ein 8 Nullen 0000 
0000 umfassender Wert erzeugt (22) und in Block 23 
zusammen mit der verschlusselten Zufallszahl Av und 
der Zufallszahl B an die Datenverarbeitungsanlage 4 
bzw. 5 gesendet. 

Beim Vorliegen eines TID wird im Block 21 dieser 
TID zusammen mit Av und B an die Datenverarbei- 
tungsanlage als 3 x 8 Byte langer Datensatz gesendet. 

Zur Vermeidung des Aufwandes, der erforderlich wa- 
re, wenn ein Wartungstechniker beim Fehlen des Termi- 
nal-Identifikations-Code am Orte des Terminals er- 
scheinen miiBte, um dort in Abstimmung mit der Daten- 
verarbeitungsanlage einen neuen Terminal-Identifika- 
tion-Code TIDneu vor zugeben und ihn in das Terminal 
einzuspeichern, erfolgt erfindungsgemaB die Vergabe 
und das Einschreiben des TIDneu in das Chipkarten- 
Terminal automatisch programmgesteuert. 

Nach Empfang des im Block 21 bzw. 23 gesendeten 
3x8 Bytes langen Datensatzes durch die Datenverar- 
beitungsanlage 4 bzw. 5 wird in Block 24 gepriift, ob 
zwischen dem Senden der Zufallszahl A in Block 16 und 
dem Empfang der im 3 x 8 Byte langen Datensatz ent- 
haltenen verschlusselten Zufallszahl Av durch die Da- 
tenverarbeitungsanlage mehr als 3 sec vergangen sind. 
Dicse kurze Zeit bietet eine gewisse Sicherheit, um Hak- 
kern den Einstieg in das System zu verwehren oder zu 
erschweren, da nicht damit zu rechnen ist, daB ein Hak- 
ker in dieser kurzen Zeit den "richtigen" Weg f indet. 

Sollten mehr als 3 sec vergangen sein, erfolgt Ab- 
bruch 25, andernfalls wird das Verfahren fortgefuhrt 
wobei in Block 26 die vorgeschriebene Satzlange ge- 
priift wird. Liegt diese nicht vor, erfolgt Abbruch 25, 
ansonsten wird der Verfahrensablauf fortgesetzt: in 
Block 27 wird gepriift wird, ob die in Block 15 zwischen- 
gespeicherte Zufallszahl A der im empfangenen Daten- 
satz enthaltenen verschlusselten Zufallszahl Av ent- 
spricht. Nur im Entsprechungsfall wird das Verfahren 
fortgefuhrt, ansonsten erfolgt Abbruch in Block 29. 

Die Priifung im Block 27 ist einfach durchzufuhren: 
Die in Block 15 zwischengespeicherte Zufallszahl A 
wird mit einem wie im Terminal verwendeten Ver- 
schliisselungsbauteil verschlusselt und das Verschlussel- 
ungsergebnis mit der im 3x8 Byte langen Datensatz 
enthaltenen verschlusselten Zufallszahl Av verglichen. 
Bei Gleichheit bestehen keine Bedenken- das Verfahren 
kann fortgefuhrt werden. 

Es ist aber auch denkbar, daB ein auf das terminalsei- 
tig verwendete Verschliisselungsbauteil abgestimmtes 
Entschliisselungsbauteil in der Datenverarbeitungsanla- 
ge verwendet wird. Mit diesem wurde die im 3 x 8 Byte 
langen Datensatz enthaltene verschliisselte Zufallszahl 
Av decodiert (entschlusselt) werden; das Entschliissel- 
ungsergebnis miiBte bei storungsfreiem Ablauf des Ver- 
fahrens mit der in Block 15 zwischengespeicherten Zu- 
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failszahl A ubereinstimmen. 

Im nachfolgenden Block 28 erfolgt die Abfrage, ob 
das Kennzeichen 0000 0000 fur ein Fehlen des Terminal- 
Identifikations-Codes vorliegt. Sollte dies der Fall sein, 
erfolgt in Block 31 die Vergabe eines neuen Terminal- 
Identlfikations-Codes TIDneu aus einem Vorrat zulassi- 
ger Werte. Andernfalls wird im Block 30 der im 3 x 8 By- 
te langen Datensatz enthaltene TID dahingehend iiber- 
priift, ob es sich um einen zulassigen Wert handelt, der 
vormals bei Vergabe dieses Wertes in der Datenverar- 
beitungsanlage gespeichert wurde. Bei Zulassigkeit 
wird das Verfahren mit Block 32, der auch auf Block 31 
folgt, fortgesetzt. Im Block 32 wird die vom Terminal 
mit dem 3x8 Byte langen Datensatz empfangene Zu- 
fallszahl B zu Bv verschlusselt (dies erfolgt in Analogie 
zu der Verschlfisselung der Zufallszahl auf der Termi- 
nalseite). Der empfangene zulassige Terminal-Identifi- 
kations-Code TID bzw. der neu vergebene Terminal- 
Identifikations-Code TIDneu werden in Block 32' zwi- 
schengespeichert. In Block 33 erfolgt die Obertragung 
der Werte TIDneu und Bv an das Terminal. Nach Emp- 
fang dieser Werte durch das Terminal erfolgt dort im 
Block 34 die Abfrage, ob nach Absenden der in Block 21 
bzw. 23 enthaltenen Information und dem Empfang der 
im Block 33 enthaltenen Information z. B. mehr als 3 sec. 
vergangen sind, eine Abfrage, die analog Block 24 zu 
bewerten ist. 

Im Block 36 wird gepruft, ob die in Block 18 zwischen- 
gespeicherte Zufallszahl B und die durch Obertragung 
33 empfangene verschliisselte Zufallszahl Bv auch ein- 
ander entsprechen. Diese Uberprufung erfolgt analog 
zu der im Block 27 durchgefuhrten. Nur im Entspre- 
chungsfall wird das Verfahren fortgesetzt. Andernfalls 
erfolgt Abbruch 35. 

Im Block 37 erfolgt, sofern im Terminal 2 bisher noch 
kein Terminal-Identifikations-Code eingespeichert war, 
das Einspeichern des von der Datcnverarbeitungsanla- 
ge in Block 31 neu vergebenen Terminal-Identifilca- 
tions-Codes TIDneu. Dieses Einspeichern (hier "Ein- 
brennen" genannt) geschieht programmgesteuert (auto- 
matisch). Als Speicher ist ein sogenanntes EEPROM- 
Element oder ein vergleichbares Bauteil vorgesehen, 
dafl auch spatere Anderungen der eingespeicherten In- 
formation zuIaBt. Fiir den Fall, daB das Terminal bereits 
mit einem Terminai-ldentifikations-Code versehen war, 
wird Block 37 umgangen. 

Im AnschluB daran wird in Block 38 unter Bezugnah- 
me auf TID bzw. TIDneu (hierbei handelt es sich um 
terminalspezifische Daten) eine sogenannte Bezahl-Da- 
tei BEZ-Datei erstellt und zwischengespeichert, in der 
vom Terminal erfaBte Bezahldaten mit chipkarten- und 
handlerspezifischen Daten zusammengestellt werden. 
In Block 39 wird diese BEZ-Datei vom Terminal an die 
Datenverarbeitungsanlage ubertragen. Dort wird in 
Block 40 die empfangene BEZ-Datei zwischengespei- 
chert (vorzugsweise unter einem anderen Datei-Namen, 
um im Falle der Z-Modem-Besonderheiten ein Ober- 
schreiben von Dateien gleichen Namens zu verhindern. 
Im Block 41 wird gepruft, ob Dateien doppelt angelie- 
fert wurden {eine Doppelverarbeitung identischer Da- 
teien ist zu verhindern, da sie zu unerwiinschten Dop- 
pelbuchungen fuhren wurde), Hierzu wird die aktuell 
empfangene BEZ-Datei mit vormals empfangenen und 
zwischengespeicherten Dateien auf identischen Inhalt 
uberpruft. Im Identitatsfall erfolgt Abbruch 42, ggfls. mit 
Fehlermeldung, andernfalls wird die empfangene BEZ- 
Datei in Block 43 gesichert. 

Im Block 44 werden die in der BEZ-Datei enthaltenen 



Daten zur Bankverbindung des Handlers mit denen in 
der Datenverarbeitungsanlage gespeicherten Bankda- 
ten des Handlers verglichen. Bei Unstimmigkeiten er- 
folgt Abbruch 45 (gegebenenfalls wie auch in anderen 
5 Abbruchsfallen mit Meldung). Bei Obereinstimmung 
der Bankverbindungsdaten wird in Block 46 gepruft, ob 
die in der empfangenen BEZ-Datei enthaltenen TID 
bzw TIDneu Werte mit den im Block 32' zwischenge- 
speicherten Werten ubereinstimmen. Danach kommt es 

io in Block 47 zu einer sogenannten Quittungserstellung, in 
der die Ergebnisse der Priifung der BEZ-Datei zusam- 
mengestellt sind. Diese Quittung wird in Block 48 an das 
Terminal 2 gesendet. Dort erfolgt in Block 50 die Verar- 
beitung der Quittungsinformation. Fur den Fall, daB die 

15 BEZ-Datei fur eine Weiterverarbeitung durch die Da- 
tenverarbeitungsanlage im Block 49 akzeptiert werden 
kann, erfolgt eine Loschung der im Block 38 zwischen- 
gespeicherten BEZ-Datei, diese wird nun nicht mehr 
gebraucht, sie ist ohnehin im Block 43 der Datenverar- 

20 beitungsanlage gesichert worden, ihrer Weiterverarbei- 
tung im Block 49 steht nichts mehr entgegen: die Um- 
satzbetrage konnen den Handlern auf ihren Computer- 
Bankkonten gutgeschrieben werden. Sollte sich bei der 
Oberprufung in Block 51 herausstellen, daB die Quit- 

25 tungsinformation eine Weiterverarbeitung der BEZ- 
Datei nicht zulaBt, erfolgt Abbruch 52, ggfls mit Fehler- 
meldung, oder eine Wiederholung bestimmter Vorgan- 
ge. Die in Block zwischengespeicherte BEZ-Datei wird 
deshalb zunachst nicht geloscht. 

30 Nach dem Loschen der BEZ-Datei in Block 53 be- 
ginnt der Verfahrenszyklus wieder mit Block 11. Das 
erfindungsgemiiBe Verfahren beinhaltet eine Service- 
Steigerung fiir den Kunden: Fehlermeldungen bzw. Ab- 
bruchhinweise erfolgen sofort, der Kunde wird zielge- 

35 recht geleitet und gefiihrt; es bietet ein hohes MaB an 
Sicherheit, Komfort, Kundennahe, Datenschutz und Da- 
tensicherheit. 

Patentanspruche 

1. Computerprogrammgesteuertes Verfahren zum 
gesicherten Aufbau einer Wahl-Leitungsverbin- 
dung und zur gesicherten Datenubertragung zwi- 
schen einem Chipkarten-Terminal (2) und einer 
45 zentralen Datenverarbeitungsanlage (4, 5) unter 
AusschluB unbefugten Zugriffes auf die Leitungs- 
verbindung und/oder die Daten, 
dadurch gekennzeichnet, 

a) daB nach Anwahl (11) der Datenverarbei- 
50 tungsanlage durch das Terminal (2) von der 

Datenverarbeitungsanlage (4, 5) ein Zufalls- 
wert A generiert (14), gespeichert (15) und an 
das Terminal (2) ubertragen (16) wird, 

b) daB vom Terminal (2) der empfangenen Zu- 
55 fallswert A zu Av verschlusselt (19), ein Zu- 

fallswert B generiert (17), gespeichert (18) und 
Av und B an die Datenverarbeitungsanlage 
ubertragen (21, 23) werden, 

c) daB von der Datenverarbeitungsanlage (4, 5) 
eo gepruft (27) wird, ob A und Av einander ent- 
sprechen und daB im Entsprechungsfall von 
der Datenverarbeitungsanlage (4, 5) der emp- 
fangene Zufallswert B zu Bv verschlusselt (32) 
und an das Terminal (2) Ubertragen (33) wird, 

es d) daB vom Terminal (2) gepruft (36) wird, ob B 

und Bv einander entsprechen, 
e) daB ein im Terminal (2) gespeicherter Ter- 
minal-Identifikations-Code TID bzw. ein Si- 
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gnal F fur ein Fehlen dieses Codes vom Termi- 
nal (2) an die Datenverarbeitungsanlage (4, 5) 
ubertragen (21, 23) wird, 

f) daB von der Datenverarbeitungsanlage (4, 5) 
beim Empfang des Terminal-Identifikations- 5 
Codes TID durch Vergleich (30) desselben mit 
alien giiltigen in der Datenverarbeitungsanla- 
ge (4, 5) gespeicherten Terminal-Identifika- 
tions-Codes gepruft wird, ob der empfangene 
Terminal-Identifikations-Code TID zulassig ist 10 
bzw. da3 von der Datenverarbeitungsanlage 

(4, 5) beim Empfang des Signales F ein neuer 
Terminal-Identifikations-Code TIDneu gene- 
riert(31)wird und 

g) daB dieser (TIDneu) an das Terminal (2) 15 
gesendet (33) und dort zu dessen (2) kiinftiger 
Kennzeichnung eingespeichert (37) wird, 

h) dafl der — gemaB e) — von der Datenverar- 
beitungsanlage (4, 5) empfangene Terminal- 
Identifikations-Code TID bzw. — der gemaB f 20 
— generierte neue Terminal-Identifikations- 
Code TIDneu Fur eine spatere Priifoperation 

in der Datenverarbeitungsanlage (4, 5) zwi- 
schengespeichert (32') wird, 

i) daB im Entsprechungsfall — gemaB d) — B 25 
entspricht Bv und bei Vorliegen eines Termi- 
nal-Identifikations-Codes TID bzw. eines neu- 
en Terminal-Identifikations-Codes TIDneu im 
Terminal (2) eine dort (2) zwischenzuspei- 
chernde Zahlbetrage, terminal-, chipkarten- 30 
und terminalbesitzer-spezifische Daten umfas- 
sende Datei erstellt (38) und an die Datenver- 
arbeitungsanlage (4, 5) ubertragen (39) wird, 

j) daB diese Datei von der Datenverarbei- 
tungsanlage zwischengespeichcrt (40) und mit 35 
vorhergehenden empfangenen Dateien auf 
Identitat ihres Inhaltes zum AusschluB von 
Datei- Doppelverarbeitungen verglichen (41) 
wird, 

k)daB die - gemaB h - in der Datenverarbei- 40 
tungsanlage (4, 5) zwischengespeicherten Wer- 
te (32') TID bzw. TIDneu mit denen in der von 
der Datenverarbeitungsanlage (4, 5) empfan- 
genen Datei enthaltenen Werten TID bzw. 
TIDneu auf Obereinstimmung gepruft (46) 45 
werden, 

1) daB von der Datenverarbeitungsanlage (4, 5) 
nach erfolgter Dateiprtifung eine die Prufer- 
gebnisse enthaltende Quittierungsinformation 
erstellt (47) und an das Terminal (2) ubertragen 50 
(48) wird, und 

m) daB im Terminal (2) nach Vorliegen einer 
fiir die Weiterverarbeitung (49) der Datei zu 
akzeptierende Quittierungsinformation die — 
gemaB i - zwischengespeicherte Datei ge- 55 
I6schtwird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB nach Ablauf einer vorgegeben Zeit 

gn einstelligen Sekundenbereich), gerechnet ab 
bertragungsbeginn (16) des Zufallwertes A bis 60 
zum Empfang des verschlusselten Zufallswertes Av 
durch die Datenverarbeitungsanlage die Leitungs- 
verbindung abgebrochen(25) wird. 

3. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB nach Ablauf einer vorgegeben Zeit 65 
(im einstelligen Sekundenbereich), gerechnet ab 
Ubertragungsbeginn (21) des Zufallwertes B bis 
zum Empfang des verschlusselten Zufallswertes Bv 
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durch das Terminal (2) die Leitungsverbindung ab- 
gebrochen (35) wird. 

4. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB nach der Anwahl (11) der Datenver- 
arbeitungsanlage (4, 5) die Leitungsverbindung ab- 
gebrochcn (13) wird, wenn ais erstes auf der An- 
wahlleitung Daten an die Datenverarbeitungsan:?.- 
ge gesendet werden. 

5. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB der Terminal-Identifikations-Code 
TID bzw. das Signal F — gemaB e) — , der — gemaB 
b) — verschliisselte Zufallswert Av und der Zufalls- 
wert B — gemaB b) — in einem Cbertragungs- 
schritt als Datensatz definierter Satzlange vom 
Chipkarten-Terminal (2) an die Datenverarbei- 
tungsanlage (4, 5) ubertragen (21, 23) werden, und 
daB beim Empfang dieses Datensatzes von der Da- 
tenverarbeitungsanlage (4, 5) dessen vorgeschrie- 
bene Satzlange gepruft (26) wird. 

6. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB zum AusschluB (41) von Doppelver- 
arbeitungen von Dateien, die aktuelle von der Da- 
tenverarbeitungsanlage (4, 5) empfangene Datei 
unter einem anderen Dateinamen zwischengespei- 
chert wird, wobei sich die Identitatspriifung auf den 
Dateiinhalt bezieht. 

7. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB bei der Dateiprtifung die in der Datei 
enthaltenen terminalbesitzer-spezifischen Bank- 
verbindungsdaten mit den in der Datenverarbei- 
tungsanlage gespeicherten Bankverbindungsdaten 
aller Terminalbesitzer verglichen (44) werden. 
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